Лекции.Орг


Поиск:

Рекомендуем:

Почему я выбрал профессую экономиста

Почему одни успешнее, чем другие

Периферийные устройства ЭВМ

Нейроглия (или проще глия, глиальные клетки)

Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 
Главная
О нас
Популярное
ТОП
Новые страницы
Случайная страница
Контакты
FAQ
ЗАКАЗАТЬ РАБОТУ

Протоколирование и сетевой аудит

⇐ Предыдущая12



Протоколирование — это сбор и накопление информации о событиях, происходящих в информационной системе в процессе ее функционирования.

Аудит это анализ накопленной информации, проводимый оперативно или периодически (например, один раз в день).

Реализация протоколирования и аудита в системах защиты преследует следующие основные цели:

• обеспечение подотчетности пользователей и администра­торов;

• обеспечение возможности реконструкции последователь­ности событий;

• обнаружение попыток нарушения информационной без­опасности;

• предоставление информации для выявления анализа проблем.

Принцип работы систем обнаружения нарушения информа­ционной безопасности заключается в том, что отслеживаются аномалии сетевого трафика. Отклонения в большинстве случаев являются признаком сетевой атаки. Например, нетипичная длина сетевого пакета, неполная процедура установления соедине­ния - все эти критерии фиксируются системами обнаружения атак (СОВ). У данного способа обнаружения атак был и остается один существенный недостаток — он имеет дело с уже свершив­шимися событиями, т.е. с уже реализованными атаками. Знания о совершенных несанкционированных действиях позволяют предотвратить повторение этих действий.

Примеры вопросов

1. Протоколирование действий пользователей дает возможность:

• решать вопросы управления доступом;

• восстанавливать утерянную информацию;

• обеспечивать конфиденциальность информации;

реконструировать ход событий при реализации угрозы безопас­ности информации?

 

 

2. Сетевой аудит включает:

• выборочный анализ действий пользователей в сети;

• протоколирование действий всех пользователей в сети;

• анализ всех действий пользователей в сети;

• анализ безопасности каждой новой системы (как программной, так и аппаратной) при ее инсталляции в сеть?

Экранирование

Экран контролирует информационные потоки между узлами сети. Контроль потоков состоит в их фильтрации с выполнением некоторых преобразований.

Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, определяемых политикой безопасности организации. Межсетевые экраны про­изводят логический анализ получаемой информации. При этом учитываются содержание информации, порт, через который по­ступил сетевой запрос, и т.д.

Примеры вопросов

1. Какое средство наиболее эффективно для защиты от сетевых
атак:

использование сетевых экранов, или Firewall;

• посещение только «надежных» интернет-узлов;

• использование антивирусных программ;

• использование только сертифицированных программ-браузеров при доступе к сети Интернет?

2. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ) заключается в том, что:

• принципиальных отличий МЭ от СОВ нет;

• МЭ работают только на сетевом уровне, а СОВ — еще и на физическом;

• МЭ были разработаны для активной или пассивной защиты, а СОВ -для активного или пассивного обнаружения;

• МЭ были разработаны для активного или пассивного обнару­жения, а СОВ — для активной или пассивной защиты?

Шифрование

Различают два основных метода шифрования: симметричный и асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для шифрования, и для расшифровки данных. Во втором используются два ключа. Один из них несе­кретный (он может публиковаться вместе с адресом пользовате­ля), используется для шифрования сообщения, другой, секретный (известный только получателю) — для расшифровки.

Криптография необходима для реализации трех сервисов безопасности: шифрования; контроля целостности и аутенти­фикации.

Пример вопроса

Криптографическое преобразование информации — это:

 

• ограничение доступа;

• резервное копирование;

• использование системы паролей;

шифрование?

Электронная подпись

Электронная цифровая подпись (ЭЦП) — реквизит электронного до­кумента, предназначенный для защиты данного электронного до­кумента от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифициро­вать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Алгоритм шифрования подписи должен определять секретный ключ пользователя, известный только владельцу ключа. Алгоритм проверки правильности подписи должен определять открытый ключ пользователя, известный абонентам-получателям. При та­ком подходе воспользоваться подписью может только владелец ключа, а проверить ее подлинность — любой абонент, которому передан открытый ключ, путем дешифрования сообщения этим ключом.

Пример вопроса

1. Электронно-цифровая подпись позволяет:

удостовериться в истинности отправителя и целостности сообще­ния;

• восстанавливать поврежденные сообщения:

• пересылать сообщение по секретному каналу;

• зашифровать сообщение для сохранения его секретности.

Антивирусная защита

Классификация вирусов. Компьютерный вирус это программа, способная к самостоятельному размножению и функциони­рованию, и имеющая защитные механизмы от обнаружения и уничтожения. В настоящее время известно более 5000 программ­ных вирусов, которые можно классифицировать по различным признакам.

В зависимости от среды обитания вирусы подразделяются на сетевые, файловые и загрузочные.

Сетевые вирусы распространяются по различным компью­терным сетям.

Файловые вирусы инфицируют главным образом исполняемые файлы с расширениями СОМ и ЕХЕ.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска.

По способу заражения вирусы делятся на резидентные и не­резидентные.

Резидентные вирусы при заражении компьютера помещаются в оперативную память. Они перехватывают обращения опера­ционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряются в них.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия, можно лишь выделить основные типы:

простейшие вирусы (вирусы-паразиты) изменяют содер­жимое файлов и секторов диска и могут быть достаточно легко
обнаружены и уничтожены;

вирусы-репликаторы (черви) распространяются по ком­пьютерным сетям, вычисляют адреса сетевых компьютеров и
записывают по этим адресам свои копии. Вирусы-черви не изменяют содержимое файлов, однако они очень опасны, так как
уменьшают пропускную способность сети и замедляют работу серверов;

вирусы-невидимки (стеле-вирусы) очень трудно обнаружи­ваются и обезвреживаются, так как они перехватывают обраще­ния операционной системы к пораженным файлам и секторамдисков и подставляют вместо своего тела незараженные участки диска;

вирусы-мутанты содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса
не имеют ни одной повторяющейся цепочки байтов;

квазивирусные, или «троянские», программы не способны к самораспространению, но очень опасны, так как, маскируясь под
полезную программу, разрушают загрузочный сектор и файловую систему дисков или собирают на компьютере информацию, не
подлежащую разглашению.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также ком­пьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с носителя информации, содержащего вирус.

Основные признаки появления вирусов:

• медленная работа компьютера, частые зависания и сбои;

• исчезновение файлов и каталогов или искажение их со­держимого;

• изменение размера, даты и времени модификации фай­лов;

• значительное увеличение количества файлов на диске;

• уменьшение размера свободной оперативной памяти;

• вывод на экран непредусмотренных сообщений или звуковых сигналов.

Примеры вопросов

1. Вирусы распространяются:

• при чтении файла;

при выполнении исполняемого файла;

• при создании файла;

• при копировании файла?

2. Основным путем заражения вирусами по сети является:

• HTML-документ;
. SMS;

почтовое сообщение;

• сообщения с Интернет-пейджера?

3. Вирусы по способу заражения среды обитания подразделяются:

• на растровые — векторные;

• на резидентные — нерезидентные;

• на физические - логические;

• па цифровые - аналоговые?

4. Файловые вирусы поражают:

• аппаратную часть компьютера;

• оперативную память;

• системные области компьютера;

программы на внешних носителях памяти?

5. Сетевые черви — это:

• программы, которые изменяют файлы на дисках и распростра­няются в пределах компьютера;

• программы, распространяющиеся только при помощи электронной почты через Интернет;

программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или
пользователей и рассылают по этим адресам свои копии;

• вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от электросети?

6. Троянской программой является:

• программа, проникающая на компьютер пользователя через Интернет;

вредоносная программа, которая сама не размножается, а выдает себя за что-то полезное, тем самым пытаясь побудить пользо­вателя переписать и установить на свой компьютер программу
самостоятельно;

• программа, вредоносное действие которой выражается в уда­лении или модификации системных файлов компьютера;

• программа, заражающая компьютер независимо от действий пользователя?

7. Заражение компьютерным вирусом не может проявляться как:

вибрация монитора;

• изменение даты и времени модификации файлов;

• замедление работы компьютера;

• появление на экране непредусмотренных сообщений?

Классификация антивирусных программ. Антивирусные про­граммы подразделяются на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (им-мунизаторы).

Программы- детекторы позволяют обнаруживать файлы, за­раженные одним из известных вирусов. Эти программы проверяют файлы на указанном пользователем логическом диске на наличие в них специфической для данного вируса комбинации байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Большинство программ-детекторов имеют режимы лечения или уничтожения зараженных файлов. Программы-детекторы, как правило, не способны обнаруживать в памяти компьютера «невидимые» вирусы.

Программы-ревизоры запоминают сведения о состоянии си­стемы (до заражения), после чего на всех последующих этапах работы программа-ревизор сравнивает характеристики программ и системных областей дисков с исходным состоянием и сооб­щает пользователю о выявленных несоответствиях. Как правило, сравнение состояний производится сразу после загрузки опера­ционной системы. При сравнении проверяются длина файла, контрольная сумма файла, дата и время последней модификации. Многие программы-ревизоры могут отличать изменения в фай­лах, сделанные пользователем, от изменений, вносимых вирусом, так как вирусы обычно производят одинаковые изменения в разных программных файлах.

Программы-доктора, или фаги — программы, которые не только обнаруживают зараженные файлы и системные области дисков, но и «лечат» их в случае заражения. Вначале своей работы фаги ищут вирусы в оперативной памяти, уничтожают их, после чего переходят к «лечению» файлов. Среди фагов можно выделить полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Программы-фильтры, или «сторожа» располагаются в опе­ративной памяти компьютера и перехватывают обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда программной среде:

• попытки коррекции загрузочных файлов;

• изменение атрибутов файлов;

• прямая запись на диск по абсолютному адресу;

• запись в загрузочные сектора диска;

• загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия, «сторож» сообщает об этом пользователю и пред­лагает разрешить или запретить выполнение соответствующей операции. Программы-фильтры позволяют обнаружить вирус в программной среде на самых ранних этапах его существования, еще до размножения.

 

Программы-вакцины (или иммунизаторы) - резидентные программы, предотвращающие заражение файлов. Вакцины модифицируют программные файлы и диски таким образом, что это не отражается на их работе, но тот вирус, от которого про­изводится вакцинация, считает эти программы или диски уже зараженными и поэтому в них не внедряется.

Примеры вопросов

1. Различают антивирусные программы:

• репликаторы;

ревизоры;

детекторы или фаги;

фильтры?

2. Программы-ревизоры в процессе своей работы проверяют:

длину файла;

• версию программы;

дату и время последней модификации;

контрольные суммы файлов?

3. Программы-ревизоры:

• относятся к самым надежным средствам защиты от виру­сов;

• обнаруженные изменения в системе постоянно выводят на экран;

• осуществляют сравнение состояний системы при выходе из нее;

постоянно сравнивают текущее состояние системы с исход­ным?

4. Программы-фильтры предназначены для обнаружения таких подозрительных действий как:

попытки изменения атрибутов файлов;

• попытки копирования файлов;

попытки загрузки резидентной программы;

попытки коррекции файлов с расширениями СОМ и ЕХЕ?

5. Программы вакцины:

• уничтожают вирусы;

модифицируют программные файлы таким образом, чтобы они воспринимались как зараженные, но это не отражалось на их работе;

• выявляют зараженные файлы;


[1] Экспресс подготовка студентов

⇐ Предыдущая12


Поделиться с друзьями:

Дата добавления: 2017-02-24; Мы поможем в написании ваших работ!; просмотров: 1264 | Нарушение авторских прав

Поиск на сайте:

Лучшие изречения:

Чтобы получился студенческий борщ, его нужно варить также как и домашний, только без мяса и развести водой 1:10 © Неизвестно
==> читать все изречения...

2409 - | 2300 -


© 2015-2024 lektsii.org - Контакты - Последнее добавление

Ген: 0.008 с.